Source for file basicauth.php

Documentation is available at basicauth.php

  1. <?php
  2. /**
  3. * User Authentication object
  4. *
  5. @author     Stuart Prescott
  6. @copyright  Copyright Stuart Prescott
  7. @license    http://opensource.org/licenses/gpl-license.php GNU Public License
  8. @version    $Id$
  9. @package    Bumblebee
  10. @subpackage DBObjects
  11. */
  12.  
  13. /** Load ancillary functions */
  14. require_once 'inc/typeinfo.php';
  15. checkValidInclude();
  16.  
  17. /** sql manipulation routines */
  18. require_once 'inc/formslib/sql.php';
  19. /** type checking and data manipulation */
  20. require_once 'inc/typeinfo.php';
  21. /** username and password checks */
  22. require_once 'inc/passwords.php';
  23. /** permissions codes */
  24. require_once 'inc/permissions.php';
  25. /** logging functions */
  26. require_once 'inc/logging.php';
  27. /** configuration */
  28. require_once 'inc/bb/configreader.php';
  29.  
  30. /**
  31. * User Authentication
  32. *
  33. @package    Bumblebee
  34. @subpackage DBObjects
  35. @todo //TODO: update permissions system
  36. @todo //TODO: documentation
  37. */
  38. class BasicAuth {
  39.   var $uid;    //user id from table
  40.     var $username;
  41.   var $name;
  42.   var $email;
  43.   var $_loggedin=0;
  44.   var $_error = '';
  45.   var $table;
  46.   var $localLogin = 0;
  47.   /** @var array      database row for the user */
  48.   var $user_row = array();
  49.   /** @var integer    debug level (0=off, 10=verbose)  */
  50.   var $DEBUG = 0;
  51.  
  52.   /**
  53.   *  Create the authentication object
  54.   *
  55.   * @param array   $data    array containing keys 'username' and 'pass'
  56.   * @param boolean $recheck (optional) ignore session data and check anyway
  57.   * @param string  $table  (optional) db table from which login data should be taken
  58.   */
  59.   function BasicAuth($data$recheck false$table='users'{
  60.     $conf ConfigReader::getInstance();
  61.     // Only start the session if one has not already been started (e.g. to cope
  62.     // with the situation where session.auto_start=1 in php.ini or where
  63.     // the entire thing is embedded within some other framework.
  64.     // For session.auto_start, the following is enough:
  65.     //      if (! ini_get('session.auto_start')) {
  66.     // But we can check the session_id() (hexadecimal string if session has started
  67.     // empty string "" if it hasn't)
  68.     #preDump($_SESSION);
  69.     if (session_id()) {
  70.       #print "Creating new session". session_id();;
  71.       session_name('BumblebeeLogin');
  72.       session_set_cookie_params(ini_get('session.cookie_lifetime')$conf->BasePath.'/');
  73.       session_start();
  74.       #print "Started session, ". session_id();
  75.     }
  76.     $this->table = $table;
  77.     if (!$recheck && $this->_var_get('uid'!== NULL{
  78.       // the we have a session login already done, check it
  79.       $this->_loggedin = $this->_verifyLogin();
  80.     elseif (isset($data['username'])) {
  81.       // then some login info has been provided, so we need to check it
  82.       $this->_loggedin = $this->_login($data);
  83.     else {
  84.       // we're not logged in at all
  85.     }
  86.   }
  87.  
  88.   /**
  89.   * Generate a pseudo-random tag that is unique to this user and installation
  90.   *
  91.   * The tag is unique to this user and this installation of Bumblebee so that it
  92.   * can be used to test whether the submitted data is from a Bumblebee-produced
  93.   * form or if it is perhaps from a spoofed source.
  94.   *
  95.   * @see http://www.debian-administration.org/articles/465
  96.   * @returns string    tag unique to this user and installation
  97.   */
  98.   function makeValidationTag({
  99.     return md5(session_id());
  100.   }
  101.  
  102.   /**
  103.   * Test if the magic tag in the form matches the magic tag for this user
  104.   *
  105.   * @see makeValidationTag()
  106.   *
  107.   * @param   string    $tag     submitted tag to be tested
  108.   * @returns boolean            the submitted tag is valid
  109.   */
  110.   function isValidTag($tag{
  111.     return $tag == $this->makeValidationTag();
  112.   }
  113.  
  114.   /**
  115.   * test function to see if user is logge in
  116.   *
  117.   * @returns boolean  user is logged in
  118.   */
  119.   function isLoggedIn({
  120.     return $this->_loggedin;
  121.   }
  122.  
  123.   /**
  124.   * log the user out of the system
  125.   */
  126.   function logout({
  127.     session_destroy();
  128.     $this->_loggedin = 0;
  129.     logmsg(4"User '$this->usernamelogged out");
  130.   }
  131.  
  132.   /**
  133.   * obtain an error string that (if appropriate) describes the failure mode
  134.   * @returns string  error message
  135.   */
  136.   function loginError({
  137.     $conf ConfigReader::getInstance();
  138.     if ($this->DEBUG ||
  139.           ($conf->value('auth''authAdvancedSecurityHole'&&
  140.            $conf->value('auth''verboseFailure'))) {
  141.       return xssqw($this->_error);
  142.     elseif (strpos($this->_error':'!== false{
  143.       // protect any additional info that is in the error string:
  144.       // functions in this class can report the error in the format 'General error: details'
  145.       // Normally, we shouldn't reveal whether it was a bad username or password,
  146.       // but for debugging purposes, it's nice to have the extra info.
  147.       list($public,$privatepreg_split('/:/'$this->_error);
  148.       return xssqw($public);
  149.     else {
  150.       return xssqw($this->_error);
  151.     }
  152.   }
  153.  
  154.   /**
  155.   * store a piece of data in the session for persistance across page calls
  156.   *
  157.   * @param string $var    name to call the data in the session
  158.   * @param mixed  $value  value to store
  159.   */
  160.   function _var_put($var$value{
  161.     $conf ConfigReader::getInstance();
  162.     $_SESSION[$conf->SessionIndex][$var$value;
  163.   }
  164.  
  165.   /**
  166.   * retrieve a piece of data previously stored
  167.   * @returns mixed  value stored
  168.   */
  169.   function _var_get($var{
  170.     $conf ConfigReader::getInstance();
  171.     return issetSet($_SESSION[$conf->SessionIndex]$var);
  172.   }
  173.  
  174.   /**
  175.   * create the login session for persistant data storage
  176.   * @param array  $row  database row for the user
  177.   */
  178.   function _createSession($row{
  179.     $this->_var_put('uid',        $this->uid        = $row['id']);
  180.     $this->_var_put('username',   $this->username   = $row['username']);
  181.     $this->_var_put('name',       $this->name       = $row['name']);
  182. //     $this->_var_put('email']      = $this->email      = $row['email'];
  183. //     $this->_var_put('isadmin']    = $this->isadmin    = $row['isadmin'];
  184.     $this->_var_put('localLogin'$this->localLogin);
  185.     logmsg(4"User '$this->usernamelogged in");
  186.   }
  187.  
  188.   function _verifyLogin({
  189.     // check that the credentials contained in the session are OK
  190.     $uid $this->_var_get('uid');
  191.     $row $this->_retrieveUserInfo($uid0);
  192.     $this->user_row = $row;
  193.     if ($row['username']  == $this->_var_get('username'&&
  194.         $row['name']      == $this->_var_get('name') ) {
  195.       $this->uid        = $uid;
  196.       $this->username   = $this->_var_get('username');
  197.       $this->name       = $this->_var_get('name');
  198.       $this->email      = $row['email'];
  199.       $this->isadmin    $row['isadmin'];
  200.       $this->localLogin = $this->_var_get('localLogin');
  201.       logmsg(4"User '$this->usernamesession accepted");
  202.       return 1;
  203.     else {
  204.       $this->logout();
  205.       $this->_error = T_('Login failed: SESSION INVALID!');
  206.       return 0;
  207.     }
  208.   }
  209.  
  210.   /**
  211.   * check login details, if OK, set up a PHP SESSION to manage the login
  212.   *
  213.   * @returns boolean credentialsOK
  214.   */
  215.   function _login($data{
  216.     $conf ConfigReader::getInstance();
  217.     // a login attempt must have a password
  218.     if (isset($data['pass']) ) {
  219.       $this->_error = 'Login failed: no password specified.';
  220.       return false;
  221.     }
  222.     // test the username to make sure it looks valid
  223.     if (is_valid_username($data['username'])) {
  224.       $this->_error = T_('Login failed: bad username'.' -- '
  225.                      .T_('Either change the username using phpMyAdmin or change how you define a valid username in config/bumblebee.ini (see the value "validUserRegexp")');
  226.       return false;
  227.     }
  228.     // then there is data provided to us in a login form
  229.     // need to verify if it is valid login info
  230.     $PASSWORD $data['pass'];
  231.     $USERNAME $data['username'];
  232.     $row $this->_retrieveUserInfo($USERNAME);
  233.     $this->user_row = $row;
  234.  
  235.     // if the admin user has locked themselves out of the system, let them get back in:
  236.     if ($conf->value('auth','authAdvancedSecurityHole'&& $conf->value('auth','recoverAdminPassword')) {
  237.       $this->_createSession($row);
  238.       return true;
  239.     }
  240.  
  241.     // the username has to exist in the users table for the login to be valid, so check that first
  242.     if ($row == '0'{
  243.       return false;
  244.     }
  245.  
  246.     $authOK 0;
  247.     if ($conf->value('auth''useRadius'&& $conf->value('auth''RadiusPassToken'== $row['passwd']{
  248.       $authOK $this->_auth_via_radius($USERNAME$PASSWORD);
  249.     elseif ($conf->value('auth','useLDAP'&& $conf->value('auth','LDAPPassToken'== $row['passwd']{
  250.       $authOK $this->_auth_via_ldap($USERNAME$PASSWORD);
  251.     elseif ($conf->value('auth''useLocal')) {
  252.       $this->localLogin = 1;
  253.       $authOK $this->_auth_local($USERNAME$PASSWORD);
  254.     else {   //system is misconfigured
  255.       $this->_error = T_('System has no login method enabled');
  256.     }
  257.     if ($authOK{
  258.       return false;
  259.     }
  260.     if (isset($row['suspended']&& $row['suspended']{
  261.       $this->_error = T_('Login failed: this account is suspended, please contact us about this.');
  262.       return false;
  263.     }
  264.     // if we got to here, then we're logged in!
  265.     $this->_createSession($row);
  266.     return true;
  267.   }
  268.  
  269.   function _retrieveUserInfo($identifier$type=1{
  270.     $conf ConfigReader::getInstance();
  271.     $row quickSQLSelect('users',($type?'username':'id'),$identifier);
  272.     if ($conf->value('auth','authAdvancedSecurityHole'&& $conf->value('auth','recoverAdminPassword')) {
  273.       if (is_array($row)) {
  274.         $row array('id' => -1);
  275.       }
  276.       $row['isadmin'1;
  277.     }
  278.     if (is_array($row)) {
  279.       $this->_error = T_('Login failed: unknown username');
  280.       return 0;
  281.     }
  282.     //$row = db_fetch_array($sql);
  283.     return $row;
  284.   }
  285.  
  286.   /**
  287.   * RADIUS auth method to login the user against a RADIUS server
  288.   */
  289.   function _auth_via_radius($username$password{
  290.     require_once 'Auth/Auth.php';
  291.     $conf ConfigReader::getInstance();
  292.     $conf->MergeFile('radius.ini''_auth_radius');
  293.     $params array(
  294.                 "servers" => array(array($conf->value('_auth_radius''host'),
  295.                                          0,
  296.                                          $conf->value('_auth_radius''key'),
  297.                                          33)
  298.                                   ),
  299.                 "authtype" => $conf->value('_auth_radius''authtype')
  300.                 );
  301.     // start the PEAR::Auth system using RADIUS authentication with the parameters
  302.     // we have defined here for this config. Do not display a login box on error.
  303.     $a new Auth("RADIUS"$params''false);
  304.     $a->username $username;
  305.     $a->password $password;
  306.     $a->start();
  307.     $auth $a->getAuth();
  308.     if ($auth{
  309.       $this->_error = T_('Login failed: radius auth failed');
  310.     }
  311.     return $auth;
  312.   }
  313.  
  314.   /**
  315.   * LDAP auth method to login the user against an LDAP server
  316.   */
  317.   function _auth_via_ldap($username$password{
  318.     require_once 'Auth/Auth.php';
  319.     $conf ConfigReader::getInstance();
  320.     $conf->MergeFile('ldap.ini''_auth_ldap');
  321.     $params array(
  322.                 'url'        => $conf->value('_auth_ldap''url'),
  323.                 'basedn'     => $conf->value('_auth_ldap''basedn'),
  324.                 'userattr'   => $conf->value('_auth_ldap''userattr'),
  325.                 'useroc'     => $conf->value('_auth_ldap''userobjectclass'),          // for v 1.2
  326.                 'userfilter' => $conf->value('_auth_ldap''userfilter'),               // for v 1.3
  327.                 'debug'      => $conf->value('_auth_ldap''debug'true false,
  328.                 'version'    => intval($conf->value('_auth_ldap''version')),          // for v 1.3
  329.                 'start_tls'  => $conf->value('_auth_ldap''start_tls'true false  // requires patched version of LDAP auth
  330.                 );
  331.     // start the PEAR::Auth system using LDAP authentication with the parameters
  332.     // we have defined here for this config. Do not display a login box on error.
  333.     $a new Auth("LDAP"$params''false);
  334.     $a->username $username;
  335.     $a->password $password;
  336.     $a->start();
  337.     $auth $a->getAuth();
  338.     if ($auth{
  339.       $this->_error = T_('Login failed: ldap auth failed');
  340.     }
  341.     return $auth;
  342.   }
  343.  
  344.   /**
  345.   *
  346.   */
  347.   function _auth_local($username$password{
  348.     $conf ConfigReader::getInstance();
  349.     $passOK check_password($password$this->user_row['passwd']);
  350.     if ($passOK{
  351.       $this->_error = T_('Login failed: bad password');
  352.     }
  353.     if ($passOK && $conf->value('auth''convertEntries'false)
  354.                 && passwordHashType($this->user_row['passwd']!= $conf->value('auth''LocalPassToken')) {
  355.       $this->updatePassword($password);
  356.     }
  357.     return $passOK;
  358.   }
  359.  
  360.   function isMe($id{
  361.     return $id == $this->uid;
  362.   }
  363.  
  364.   function getRemoteIP({
  365.     return (getenv('HTTP_X_FORWARDED_FOR')
  366.            ?  getenv('HTTP_X_FORWARDED_FOR')
  367.            :  getenv('REMOTE_ADDR'));
  368.   }
  369.  
  370.  
  371.   /**
  372.   * @global string db table prefix
  373.   */
  374.   function updatePassword($pass{
  375.     global $TABLEPREFIX;
  376.     logmsg(8"Updating password entry to new hash scheme for user {$this->user_row['id']}");
  377.     $enc =qw(makePasswordHash($pass));
  378.     db_quiet("UPDATE {$TABLEPREFIX}users SET passwd=$enc WHERE id='{$this->user_row['id']}'");
  379.   }
  380.  
  381. //BasicAuth
  382.  
  383.  
  384. ?>

Documentation generated on Tue, 06 Mar 2007 10:00:39 +0000 by phpDocumentor 1.3.0